Hydra
火狐浏览器
我将要进行破解的是我的一个同学在所在某“211”大学的校园账号,她们学校的默认账号密码为身份证后6位。所以,可以利用这个规律。我写了C语言编译执行后生成了一个密码本。
后来我利用这个,但是失败了,可能是网站有登录次数限制和验证码,得从别的地方寻找思路。后来我想到,我们在高中时都用过“安全教育平台”,它的默认密码也为身份证后6位。在同一地区同一年级它的账号名称是个人姓名拼音加同样的数字。但在电脑版的页面中,出错次数过多也会产生验证码,得回避这个问题。
后来我想到过在它的微信平台上登录时,没有验证码。然后将链接转发,用电脑上的火狐浏览器打开。输入账号,再随便填入密码。不要点“登录”。
确定浏览器停留在那个页面,打开浏览器“菜单”,点击“开发者”。
点击“网络”,弹出窗口后再点击网页中的“登录”。
双击左边那个刚才传输的信息,可以得出一些信息。比较有用的是请求方法为“get”,host地址,和请求网址。为了便于观察,我将窗口最大化。
点击“参数”和“响应”,可以得出登录表单中账号、密码与各项目的对应关系。响应中可以得出报错信息。我尝试了登录试探了几次,其中“参数”中我发现除了“account”和“password”以外,它们的字符不是一定的,可能是服务器根据时间和次序生成的,应该和登录没有关系。
现在开始正式工作。l后是账户名称,如果大写,后面要跟用户名称本路径,和最开始的密码本相似。P后面是密码本路径。vV表示显示过程,f指一旦发现一个匹配,立刻停止破解。大写I是如果上次有没进行完的,又要进行新的,直接执行,不会理会上次的。t64是指用64个进程同时进行。选项后的地址也就是前面的host地址。http-get-form是指所登录的协议。上面的请求网址中后面的是个登录信息有关,把后面的登录信息去掉可以得到引号后的网址。第一个冒号后表单中,参数接到“项目名称=”的后面,之间有&连接,最后面的是报错信息。由于0之前的冒号在这个命令中会产生影响,反斜杠会告诉电脑后面为原字符,不是命令的一部分。
大约十多分钟后,成功。我登录同学的校园账号,成功。在上面找到了不少信息。
由于我使用的是Linux系统,Windows平台下的文件路径名不是这样写的。
不同版本,操作方法可能略有差异。
遵守法律法规。